JAKARTA - Pada 14 Januari kemarin, akun @TodayCyberNews di X pertama kali menemukan bahwa PT. Kereta Api Indonesia (KAI) diduga telah menjadi korban peretasan.
Dalam postingannya, akun itu menunjukkan di mana peretas berhasil mencuri beberapa data sensitif seperti informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi dan berbagai data internal lainnya.
Menanggapi isu ini, Chairman Lembaga Riset Keamanan Siber CISSReC, Pratama Persadha mengatakan bahwa mereka telah melakukan investigasi, bahkan seminggu sebelum informasi peretasan diungkapkan.
“Geng ransomware Stormous tersebut mendapatkan akses masuk ke sistem PT. KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan. Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem PT. KAI dan mengunduh data yang ada di dalam dashboard tersebut,” kata Pratama dalam keterangan yang diterima VOI pada Selasa, 16 Januari.
Dari tangkapan layar yang dibagikan, Pratama meyakini bahwa Stromous masuk melalui akses internal karyawan yang berhasil didapatkan melalui metode phising serta social engineering atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers.
Meskipun tampaknya PT. KAI sudah menyadari adanya serangan dan sudah melakukan beberapa mitigasi seperti menghapus menonaktifkan portal VPN di situs PT. KAI, Pratama meyakini bahwa langkah tersebut tidak efisian.
Karena menurutnya, ada juga kemungkinan bahwa geng ransomware itu telah memasang backdoor di dalam sistem PT. KAI. Dengan demikian, mereka dapat menggunakannya kembali untuk mengakses sistem kapanpun mereka mau.
Sehingga, jika mereka tidak dapat menemukan backdoor tersebut, salah satu langkah yang paling aman adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang PT. KAI.
“Menurut data yang berhasil kami gali, terdapat 82 kredensial karyawan PT. KAI yang bocor, serta hampir 22.5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT. KAI,” ungkap Pratama.
Pratama juga mengatakan bahwa data kredensial tersebut didapatkan dari sekitar 3300 url yang menjadi permukaan serangan external dari situs PT. KAI tersebut.
BACA JUGA:
Melihat tren ancaman seperti ini banyak terjadi, Pratama melihat bahwa saat ini, security/keamanan hanya menjadi add on atau tambahan dari sistem yang dimiliki oleh suatu organisasi saja.
“Oleh karena itu harus ada gerakan masif dan terstruktur agar keamanan siber menjadi salah satu fokus yang dimengerti dan ditetapkan oleh High Level Person atau pimpinan di organisasi, sehingga harapannya keamanan siber ini bisa dimulai dari hulu, bahkan jauh sebelum aplikasi dibuat,” tegasnya.
Pratama juga menyarankan, PT. KAI harus betul betul mempertimbangkan aspek keamanan siber, terutama saat ini PT. KAI sedang gencar-gencarnya mengimplementasikan sistem face recognition pada sistem ticketing.